Panorama des menaces recensées par le CERT- RENATER

Transcription

1 Panorama des menaces recensées par le CERT-RENATER Séminaire du CERT OSIRIS 13/06/2012 Michelle DANHO CERT- RENATER 1

2 Le CERT RENATER Service du pôle SSI de RENATER 3 personnes Services Essentiels Rendus: Coordination d incident de sécurité détectés sur RENATER Détection d incidents de sécurité Envois d informations à son réseau de correspondants sécurité Service assuré du lundi au vendredi de 9h à 18h Contact par téléphone ou Tel : certsvp@renater.fr 2

3 Le CERT RENATER : Rôles rôle curatif : la réaction sur incidents rôle centralisateur de point de contact concernant les incidents de sécurité détectés sur RENATER coordonner le traitement des problèmes de sécurité Aide technique Rôle préventif: centraliser et diffuser de l information par des canaux sûrs. Le CERT-RENATER diffuse quatre types de bulletins, fruit de sa veille technologique, à ses abonnés rôle proactif : détection d incidents La surveillance des flux en transit sur le réseau permet d identifier des machines compromises ou infectées par des vers sur Renater Détection d incidents suivant certains critères Détection d incidents de sécurité en temps réel Analyse de tendances 3

4 Le CERT RENATER : Veille Réseau Proactive Scans de réseau Activité virale Surveillance du trafic d une machine ou vers une machine Déni de service Connexions vers des adresses particulières Détection des abus 4

5 Types d incidents les plus courants observés par le CERT-RENATER en Les Bots/Machines Zombies Ajouts de contenus illicites dans des pages Webs à des fins publicitaires Serveurs SSH piratés Serveurs Webs piratés (défigurations, phishing, ajout de codes malveillants dans les pages Webs) Vol d identifiants utilisateur Le Spam dans une moindre mesure Dénis de service Divers abus, problèmes de configuration (proxys mal configurés, fichiers avec données confidentielles mis en ligne par erreur) 5

6 Les codes malveillants Malwares en vers con2icker palevo sality Mebroot

7 Les codes malveillants Depuis le début de l'année 2012 Nombre de conficker.c pour ces 162 jours : 46 Nombre de downadup pour ces 162 jours : 1354 Nombre de dnschanger pour ces 162 jours : 266 Nombre de flashback pour ces 162 jours : 78 Nombre de sality pour ces 162 jours : 71 Nombre de sality2 pour ces 162 jours : 1 Nombre de mebroot pour ces 162 jours : 48 Nombre de torpig pour ces 162 jours : 36 Nombre de ZeuS pour ces 162 jours : 15 Nombre de Spyeye pour ces 162 jours : 5 Nombre de BankPatch/MultiBanker pour ces 162 jours : 4 Nombre de SpyEye pour ces 162 jours : 2 Nombre de Carberp pour ces 162 jours : 8 Nombre de trafficconverter pour ces 162 jours : 8 Nombre de irc pour ces 162 jours : 25 Nombre de slenfbot pour ces 162 jours : 18 Nombre de kelihos pour ces 162 jours : 4 Nombre de honeypot pour ces 162 jours : 4 Nombre de yzf pour ces 162 jours : 3 Nombre de Dropper_dloader pour ces 162 jours : 1 Nombre de Ponmocup pour ces 162 jours : 1 Nombre de skunkx pour ces 162 jours : 1 Nombre de TDSS pour ces 162 jours : 1 7

8 Les compromissions Compromissions Total attaque web ssh phishing Total 2011 = 231 AGaques Web = défiguranons, insernon de codes malveillants dans des pages Web, piratages de serveurs web 8

9 Les compromissions Total 2008 total 2009 Total 2010 total compromissions attaques web ssh phishings Contenus Inappropriés 9

10 Les contenus inappropriés Il s agit de la pollution de sites Web légitimes par des contenus inappropriés dans le contexte éducation - recherche propre à RENATER, en général des publicités pour divers produits pharmaceutiques ou de luxe (montres, sacs, etc.) vendus en ligne. Il s agit en général de messages postés sur des forums, de faux commentaires laissés à la suite d articles, de piratages L origine des problèmes : souvent un manque de surveillance et de modération des espaces de discussion en ligne, de sites tombés dans l oubli et laissés en ligne, des erreurs de configuration, des défauts de mise à jour d applications Web. Pour les trouver : on entre par exemple «cialis site:.fr» ou «viagra site:.fr» comme clés de recherche et on analyse les résultats Les détections : 267 en en depuis le début de l année 10

11 Le spam Spams en 2010 &

12 Le spam Environ 70 envois de spams signalés en 2012 Souvent suite à des attaques de phishing Souvent pour lancer d autres attaques en phishing et continuer à exploiter la confiance qui règne entre utilisateurs de la communauté éducation - recherche Parfois aussi des postes infectés (mais de moins en moins) On en voit beaucoup moins que les années précédentes Vagues d envois mieux détectées et vite circonscrites 12

13 Les Dénis de service Signalements (plaintes externes) Détection par : Métrologie (très gros) Outil dédié (capture des flux de plus de pps); analyse des résultats par le biais d une interface web (manuel); système de liste blanche intégré pour prendre en compte le faux positifs et affiner peu à peu les résultats Observations de flux avec des paquets de tailles comprises entre 40 et 60 octets (manuel) 13 cas en cas depuis le début de l année 13

14 Les Dénis de service : exemples 14

15 Exemples d attaques : exemples Vers une université 15

16 Les Dénis de service :Exemples d attaques 16

17 Les Dénis de service : exemples 17

18 Gros problèmes récurrents Des attaques simples Les sites Webs Peu surveillés Pas mis à jour Les codes maisons développés sans sécurité mis en ligne Les privilèges excessifs Les vols d identifiants de connexions Les mots de passe triviaux Mauvais choix Comptes par défaut / comptes de tests non supprimés 18

19 Ce que nous ne voyons pas ou très peu La majorité de l activité des spams Les vecteurs d infection : Les attaques véhiculées par la messagerie électronique (arnaques diverses, pièces jointes infectées, liens redirigeant vers page Web malveillante) La majorité des attaques véhiculées par des sites Web malveillants (drive by download) Les attaques véhiculées par la messagerie instantanée La majorité des chevaux de Troie, Spywares La majorité des vers/virus/bots Les attaques ciblées et discrètes 19

20 Evolution des Incidents de sécurité Détectés La tendance est à la furtivité des actions pour une plus grande rentabilité On détecte et on nous remonte beaucoup moins d incidents aujourd hui qu il y a quelques années La veille et le partage d informations sont donc fondamentaux du côté des personnes qui organisent la défense 20

21 Pour aller plus loin Une meilleure vision permet D avoir une idée plus pertinente de la menace De mieux prendre en compte les problèmes de sa communauté Une meilleure orientation de la veille Améliore la détection des problèmes Besoin de relais locaux pour une meilleure remontée des informations Connaissance de l écosystème local Diffusion d informations et organisation d actions ciblées en local Pour une plus grande efficacité, une grande granularité est la bienvenue La création de nouveaux CERTs est la bienvenue En France on en dénombre 12 (gouvernement, NREN, banques, commerciaux, ISP) Le dernier en date : CERT-OSIRIS 21

22 Merci pour votre attention! 22